TOSS BUG BOUNTY

비교할 수 없을 만큼
안전한
금융 서비스를
만들겠다는 다짐

보안 취약점을 먼저 발견하고 고쳐

안전하고 빈틈없는 서비스로 거듭나기 위해.

금융권 최초로, 자체 진행하는 버그
바운티 챌린지를 시작합니다.
*참가 신청한 분들만 챌린지에 참여할 수 있습니다.
toss bug bounty logo

최고의 보안 전문가,
당신의 도전을 기다립니다

참가 신청을 하신 분이라면 누구나 챌린지에
참여할 수 있습니다.
새롭고 창의적인 관점으로 찾아낸
보안 취약점을 제보해주세요.
최고 수준의 리워드 제공은
물론, 명예의 전당에 이름을 올려드립니다.

버그 바운티 챌린지는
이렇게 진행됩니다

  • 제보하기

  • 내부검토

  • 리워드 제공

버그 바운티 챌린지 대상

본 챌린지의 대상은 참가기관 및 회사가 허용한 범위에 한해 진행합니다.
이외 제보는 리워드 대상에서 제외됩니다.

웹 사이트

  • 토스뱅크 (https://tossbank.com)
  • 토스씨엑스 (https://tosscx.com)
  • 토스증권 (https://corp.tossinvest.com)
  • 토스페이먼츠 (https://www.tosspayments.com)
  • 토스인슈어런스 (https://tossinsu.com)
  • 토스플레이스 (https://tossplace.com)
  • 토스모바일 (https://tossmobile.co.kr)
  • API Gateway (api-gateway.toss.im)
  • 토스 홈페이지 (https://*.toss.im)
    [단, *.toss.im 중 아래 대상은 제외합니다.]
  • insurance-partner-insurer.toss.im
  • insurance-claim.toss.im
  • insurance-partner-insurer-web.toss.im

본 챌린지 전용으로 제공된 모바일 애플리케이션

  • 제공된 전용 모바일 애플리케이션으로만 취약점 점검을 수행해야 합니다.
    * 버그 바운티 챌린지 전용으로 제공

진행 방식

  • 참가신청서를 제출한 분들께 참가 안내 메일을 보내드립니다.
  • 운영 기간 중에만 공격 및 제보를 할 수 있습니다.
  • User-Agent를 고정해 사용합니다.
  • 서비스 가용성에 영향을 주는 스캐닝 공격 행위는 멈춰주세요.
  • 공격 수행 중 계정 및 IP가 차단될 수 있습니다.

취약점 제보하기

취약점 제보는 챌린지
홈페이지에서만 할 수 있습니다.
제보 필수 항목을 모두 포함해 제출해주세요.
  • 유형
  • 대상
  • 제목
  • 공격 payload
  • 공격 환경
  • 설명 및 발생 원인(스크린 캡쳐 및 코드 활용)
  • 파급력
  • 대응방안
desrt background

리워드 안내

바운티 금액은 취약점 1개당 최대 3,000만 원 입니다.
취약점의 파급력과 위험도 등급, 제보 내용을
종합적으로 판단해 책정합니다.

    Critical : ~3,000만원

  • 원격 코드 실행
  • 토스 계정 탈취
  • 그 외 고객정보 또는 금융정보 대량 노출 등 토스 서비스에 심각한 영향을 줄 수 있는 취약점

    • High : ~2,000만원

  • Authentication Bypass (토스 앱 인증우회)
  • Misconfiguration 를 통해 서비스에 영향을 줄 수 있는 취약점

    • Medium : ~1,000만원

  • SQL Injection
  • SSRF
  • 파일 다운로드 취약점

    • Low : ~500만원

  • XSS
  • CSRF
  • 그 외 중요 정보 유출이 가능한 취약점
    • 분류 기준 이외의 제보 사항에 대해서는 회사 내부 버그 바운티 챌린지 평가 위원회의 평가 결과에 따라 책정된 리워드 금액이 제공되며 분류는 예시입니다.
second-info-section-bg

유의사항

리워드 관련 사항

  • 바운티 금액은 취약점 당 최대 3,000만 원(취약점 카테고리 분류표 참고)이며, 바운티 금액책정은 취약점의 파급력과 위험도 등급 및 제보 내용을 종합적으로 판단하여 책정합니다.
  • 동일한 취약점이 제보된 경우에는 먼저 제보한 참가자에게 리워드가 지급됩니다.
  • 버그 바운티에 참가하여 취약점이 인정된 화이트 해커에게는 기념품과 명예의 전당에 등록할 기회가 제공됩니다.

버그 바운티 리워드 대상에 포함되지 않는 경우

아래의 경우 버그 바운티 리워드 대상에서 제외됩니다.

  • 약관에 명시된 기술적 취약점 외에 프라이버시 보호에 관련된 내용
  • 이미 제보된 내용
  • 서비스 거부 공격
  • 공격 가능성만 제기된 경우
  • 재현이 불가능한 경우
  • 루팅 및 탈옥 된 단말기에서만 동작하는 클라이언트 취약점
  • 그 밖에 위험성이 적다고 판단되는 모든 취약점 유형
  • 횟수 제한 미 적용
  • 구 버전 라이브러리/소프트웨어 사용
  • 관리자 페이지 노출
  • 디버깅 응답 값 노출

금지 행위 및 안내 사항

  • 서비스 가용성에 영향을 주는 스캐닝 공격 행위는 삼가하여 주시기 바랍니다.
  • 타 고객의 정보 및 금융 정보를 무분별하게 탈취, 복제 할 수 있는 행위는 금합니다.
  • 공격 수행 중 계정 차단 및 IP 차단이 진행될 수 있습니다.
  • 사용자에게 피해 혹은 영향을 주는 행위는 제한합니다.
  • 유의사항을 지키지 않는 경우 버그 바운티 참가 자격 제한 등 패널티가 부여될 수 있습니다.
  • 타 사용자에게 얻은 정보 등을 활용한 공격은 제한합니다.

보안캠페인 홈페이지

토스의 보안에 대해 궁금하신가요?

토스 보안캠페인 홈페이지에서 확인해주세요!

토스 채용 바로가기

토스에서 채용 중인 보안 포지션을
확인하고 싶으시다면,

토스 채용 사이트를 통해 확인해 주세요.